Secondhand-Online-Shops im Fadenkreuz der Betrüger

Luis Corrons 12 Jan 2023

Mit Phishing-Angriffen auf Secondhand-Webseiten versuchen Cyberkriminelle Käufer und Verkäufer in Echtzeit in die Falle zu locken.

Der An- und Verkauf von Gebrauchtwaren ist sehr beliebt geworden, da es einige Plattformen gibt, mit denen man dies bequem von zu Hause aus erledigen kann. Eine davon ist Vinted, eine Webseite für Secondhand-Kleidung und andere Artikel, die in Europa und Nordamerika sehr bekannt ist.

Cyberkriminelle und Betrüger tummeln sich in der Regel über all dort, wo Geld den Besitzer wechselt. Ich möchte hier einen Fall von Diebstahl besprechen, der sich auf Vinted zugetragen hat, doch es hätte auch jeden anderen Marktplatz dieser Art treffen können.

Das Opfer, das ich im Folgenden Helen nennen werde, ist eine enge Freundin von mir, die sich grundsätzlich gut mit dem Internet auskennt. Sie erledigt seit Jahren alle ihre Bankgeschäfte online, kauft regelmäßig in vielen verschiedenen Online-Shops ein (von Shein und Aliexpress bis hin zu Amazon oder Zara) und ist auch mit Plattformen für Secondhand-Artikel vertraut, wo sie regelmäßig Artikel kauft und verkauft.

Da Helen einige Artikel loswerden sollte, für die sich auf keiner anderen Plattform Abnehmer fanden, wollte sie Vinted einmal ausprobieren. Freunde von ihr hatten schon einige Erfahrungen mit der Plattform gemacht. Auch konnte sie dort eine neue Zielgruppe ansprechen, die möglicherweise Interesse an den Artikeln hatte, die sie verkaufen wollte: ein Gemälde und einige Damenschuhe.

Also erstellte sie ein Konto bei Vinted und lud die beiden Artikel hoch. Sie war angenehm überrascht, als sie innerhalb weniger Sekunden mehrere Nachrichten von zwei Personen erhielt, die jeweils an einem der Artikel interessiert waren. Das war insbesondere deshalb erstaunlich, weil sie dieselben Artikel schon auf einer anderen Plattform zum Verkauf angeboten hatte, wo niemand Interesse gezeigt hatte.

Der erste Interessent auf Vinted schickte ihr einen Screenshot als Zahlungsnachweis, auf dem er auch um die Telefonnummer der Verkäuferin bat. Gleichzeitig fragte der zweite Käufer nach ihrer Telefonnummer – angeblich, um die Transaktion nach erfolgter Zahlung fortzusetzen.

An dieser Stelle sollte ich erwähnen, dass Helen bis zu diesem Vorfall noch nie auf einen Betrug hereingefallen war. Sie hatte bereits so manche Phishing-SMS entlarvt (bei Fragen zur Sicherheit wandte sie sich immer an mich) und wusste, dass Vorsicht geboten war. Dieses Mal jedoch machte sie die Aufregung und die Dringlichkeit, beide Verkäufe gleichzeitig abzuwickeln, unachtsam. So kam es, dass sie den potenziellen Käufern ihre Telefonnummer gab.

Wenige Augenblicke später erhielt sie zwei SMS-Nachrichten – beide vom selben Absender (Vinted). Der Text war identisch bis auf die letzten Zeichen der URL:

Zahlungseingang und Abschluss der Transaktion https://sms2waw.win/XxxXxx

Als Helen darauf klickte, wurde sie auf ein Zahlungsportal mit dem Vinted-Logo weitergeleitet, wo sie zur Angabe ihrer Kreditkartendaten aufgefordert wurde, um die Zahlung entgegenzunehmen. Das tat sie dann auch. Nach Ausfüllen des Formulars erschien ein Ladesymbol. Irgendetwas war offensichtlich schiefgegangen. In der Annahme, dass es sich um ein Problem mit ihrer Kreditkarte handeln könnte, gab Helen die Daten einer anderen Karte ein.

Wenige Minuten später erhielt sie folgende Nachrichten auf WhatsApp:

MicrosoftTeams-image (23)Übersetzen: Hallo! Ich bin der technische Support der Vinted/Wallapop-Website, ich helfe Ihnen, Ihre Bankkarte zu verifizieren.
Sehr geehrter Verkäufer, um Ihre Bestellung zu bestätigen, hat das System eine automatische Testkaufbenachrichtigung an Ihre Bankanwendung gesendet, um zu bestätigen, dass Sie der Inhaber einer echten Bankkarte sind und Zugang zu Ihrer Bankanwendung haben. Der Testkauf ist eine Simulation und wird das Guthaben Ihrer Karte in keiner Weise beeinflussen.

Helen antwortete, dass sie keine Benachrichtigungen erhalten habe. Wenige Minuten später gingen weitere WhatsApp-Nachrichten von einer anderen Telefonnummer bei ihr ein:

MicrosoftTeams-image (24)Übersetzen: Hallo, ich bin vom technischen Dienst von Vinted. Nachfolgend geben wir an, was Sie tun müssen, um den Prozess des Gelderhalts abzuschließen. Sobald das Geld verifiziert und erhalten wurde, erhalten Sie Anweisungen zum Versand des Produkts. Alles, was Sie tun müssen, ist, auf Anweisungen zu warten. Sie können sich von der Website abmelden; wir geben Ihnen alle Informationen in diesem Chatraum.

Schließlich erhielt Helen eine SMS mit dem Namen ihrer Bank als Absender:

MicrosoftTeams-image (22)Übersetzen: Bitte bestätigen Sie eine PUSH-Benachrichtigung in Ihrer Bankanwendung über den Betrag: 299 EUR. Beachten Sie, dass dies keine Zahlung ist, sondern eine 3-Sekunden-Haltung aus Sicherheitsgründen; es ist eine Sicherheitsmaßnahme aller Banken. In 5 Sekunden wird der Betrag des Artikels auf Ihre Karte übertragen. Dies muss bestätigt werden! Unser Dienst arbeitet für Ihre Sicherheit, alle Ihre persönlichen Daten sind geschützt.

Sie öffnete ihre Bank-App und fand dort tatsächlich eine Freigabeaufforderung über einen Gesamtbetrag von 299 € vor. Über WhatsApp erhielt sie weitere Anweisungen:

Das war der Moment, in dem Helen beschloss, mich um Hilfe zu bitten. Sie schickte mir Screenshots der einzelnen Nachrichten, die sie erhalten hatte, und erzählte mir den Rest der Geschichte. Ich riet ihr, keine Zahlungen mehr anzunehmen und ihre Kreditkarten sofort sperren zu lassen (zum Glück war das mit zwei Klicks in ihrer Bank-App erledigt). Sie meldete die Benutzer bei Vinted und die Telefonnummern bei WhatsApp und ließ beide Kreditkarten sperren. Glücklicherweise konnten die Betrüger von keiner der beiden Geld abheben.

Geld ist ein enormer Motivator und das, was Cyberkriminelle antreibt. Sie mögen schlechte Schauspieler sein, aber sie sind erfahrene Lügner, die sich darauf verstehen, zum richtigen Zeitpunkt mit unseren Gefühlen zu spielen. Dies kann uns zu irrationalen Entscheidungen verleiten, die wir unter normalen Umständen niemals treffen würden.


Mehr zu diesem Thema:
„Cancer Girl“-Betrüger erbeuten mehr als eine halbe Million Dollar
Warum werden alle auf Facebook gehackt?
Fast wäre ich auf einen Scam über meine Hochschul-E-Mail-Adresse hereingefallen

--> -->